一聲招呼也沒打，安全負(fù)責(zé)人就匆忙離開了會(huì)議室。她的身體語言透露出那是一個(gè)重要的電話。當(dāng)她返回到會(huì)議室，所有人的目光都不自覺地提出了疑問，想知道發(fā)生了什么。無需更多提示，安全負(fù)責(zé)人直接說到：“CEO想知道為什么她不能在她的iPad上面觀看YouTube視頻。雖然這違反公司規(guī)定，但我們必須允許讓她能看。同時(shí)，她還希望能夠用她的iPhone訪問她的電子郵件和日程安排。”以上是發(fā)生在一家大型金融機(jī)構(gòu)內(nèi)的真實(shí)事件。

　　員工自帶設(shè)備辦公(BYOD)已成趨勢(shì)，將以加速發(fā)展的步伐變得清晰起來，并且必然與云緊密相連。在考慮這一趨勢(shì)的含義時(shí)是有多條軌跡的。證據(jù)是顯而易見的，因?yàn)榇蠖鄶?shù)的智能電話利用云為消費(fèi)者提供服務(wù)。術(shù)語“shadow IT”已經(jīng)存在有一段時(shí)間了，但在今天尤其切題。歷史上從沒有任何時(shí)候像今天這樣在一個(gè)公司的網(wǎng)絡(luò)上能輕松繞過IT部門消費(fèi)云服務(wù)，并使用非標(biāo)準(zhǔn)設(shè)備。像上面提到的例子那樣，CEO跑到IT部門為業(yè)務(wù)需要要求獲得某項(xiàng)云中的服務(wù)，這種情況經(jīng)常發(fā)生。

　　在最近于舊金山召開的RSA大會(huì)云安全小組討論會(huì)上，來自eBay, Sallie Mae, Humana 和 Bank of America的首席信息安全官們都一致認(rèn)同：安全部門需要對(duì)這些需求做出預(yù)判，并在面臨這些問題之前就做好準(zhǔn)備。換句話說就是，信息安全部門的操作方式需要進(jìn)行根本性的模式轉(zhuǎn)變。在面對(duì)可能增加風(fēng)險(xiǎn)的申請(qǐng)時(shí)不是繼續(xù)說“no”，而是需要說“yes”，并創(chuàng)造性地設(shè)計(jì)出解決方案同時(shí)降低風(fēng)險(xiǎn)。

　　在公司中，下一代員工似乎對(duì)社交媒體之前的世界一無所知，他們會(huì)要求能夠使用他們自己的設(shè)備。在很多案例中，他們都提到這會(huì)提高生產(chǎn)力和效率。另外，他們可能將此作為加盟一家單位的一項(xiàng)必要條件。在招募人員時(shí)允許使用自己的設(shè)備可能成為一項(xiàng)激勵(lì)措施，或者與另一家不允許這樣做的公司對(duì)著干的措施。

　　這樣還有益處可享。隨著用戶趨向在自己的設(shè)備上研究和解決自己的問題，支持成本會(huì)隨之降低。這還可能成為一家公司朝著設(shè)備無關(guān)、面向服務(wù)的結(jié)構(gòu)邁進(jìn)的不可拒絕的理由;從長(zhǎng)期看為開發(fā)、操作和維護(hù)帶來成本的節(jié)約。

　　允許員工使用他們自己的設(shè)備會(huì)帶來許多風(fēng)險(xiǎn)，但這些風(fēng)險(xiǎn)很少是有經(jīng)驗(yàn)的安全專業(yè)人員沒見過的。這些設(shè)備需要作為部分可信的端點(diǎn)來對(duì)待，或者在大多極端情況下作為完全不可信的端點(diǎn)來對(duì)待。主要的考慮是BYOD會(huì)使風(fēng)險(xiǎn)提高。非標(biāo)準(zhǔn)設(shè)備可能比傳統(tǒng)的、由公司發(fā)放的使用非常嚴(yán)格的措施鎖住的設(shè)備更容易地被攻擊者損害。

　　應(yīng)對(duì)由BYOD帶來的風(fēng)險(xiǎn)增長(zhǎng)，可遵循如下一些策略：

　　· 倡導(dǎo)鼓勵(lì)安全文化。安全觀念應(yīng)成為企業(yè)有機(jī)整體的一部分。這需要進(jìn)行文化轉(zhuǎn)變。安全觀念必須成為一個(gè)能動(dòng)器并嵌入到企業(yè)的各個(gè)方面。不能將安全意識(shí)看作企業(yè)創(chuàng)造精神的障礙。

　　· 教育、測(cè)試、重復(fù)。單位和終端用戶必須共同承擔(dān)責(zé)任。在最近召開的RSA大會(huì)上，著名安全名人(先前的黑客)Kevin Mitnick反復(fù)強(qiáng)調(diào)，社會(huì)工程仍是最容易的讓安全意識(shí)滲透一家公司的方式。實(shí)際上，許多高級(jí)持久威脅(APT)都涉及使用Spear Phishing網(wǎng)絡(luò)釣魚方式，捕獲安全意識(shí)缺乏的員工，來損害網(wǎng)絡(luò)。因此，不要停止對(duì)員工進(jìn)行教育。必須定期在員工最沒有想到的時(shí)候?qū)T工進(jìn)行測(cè)試(并讓他們意識(shí)到缺失)，加強(qiáng)正確行為方式的建立。

　　· 建立易于理解的BYOD規(guī)定。不要依靠用戶破譯“安全語言”。例如“要確保你的設(shè)備安裝有我們公司強(qiáng)制安裝的軟件。你可按如此步驟從這個(gè)地點(diǎn)下載并安裝。”

　　· 執(zhí)行訪問控制策略。應(yīng)依靠身份、背景和規(guī)定對(duì)資源(例如數(shù)據(jù)和應(yīng)用)進(jìn)行保護(hù)。如果系統(tǒng)不能確定用戶的身份，如果不符合合規(guī)標(biāo)準(zhǔn)(例如屏幕解鎖口令/PIN未激活)或者沒有安裝必裝的軟件(如防病毒軟件)，就不能允許設(shè)備訪問資源。根據(jù)所處地點(diǎn)和連接是否加密等因素通過對(duì)訪問進(jìn)行限制來應(yīng)用背景。

　　· 使補(bǔ)救過程自動(dòng)化。通過將大多數(shù)補(bǔ)救過程自動(dòng)化盡可能簡(jiǎn)單地使用戶能確保設(shè)備合規(guī)。不要依靠用戶能自覺了解他們需要下載和安裝一系列軟件。這可利用身份分配和配置管理技術(shù)來實(shí)現(xiàn)。

　　· 利用安全信息和事件管理工具進(jìn)行監(jiān)控。利用可提供身份綁定的審計(jì)和控告智能的安全信息和事件管理(SIEM)解決方案對(duì)所有在公司網(wǎng)絡(luò)上訪問資源的設(shè)備進(jìn)行監(jiān)控。在一個(gè)充滿部分可信、潛在受損設(shè)備的環(huán)境下，具備洞察力是首要的，而事件響應(yīng)時(shí)間則是關(guān)鍵性的。

　　· 使用具有擔(dān)保層級(jí)的身份聯(lián)盟。通過跨分區(qū)將用戶身份進(jìn)行聯(lián)盟并依靠信任級(jí)別執(zhí)行訪問控制，在具有許多身份來源的環(huán)境中以一種安全的、基于標(biāo)準(zhǔn)的方式降低操作成本。作為一個(gè)例子，我們來考慮員工內(nèi)部身份和他們的在線身份之間有重疊的問題。使用自己設(shè)備的用戶通常已經(jīng)登錄到他們的在線帳戶中(如微博)，為保證易于使用和透明的一次登錄，安全策略可以實(shí)施為支持多個(gè)擔(dān)保層級(jí)。如果某員工已經(jīng)登錄到微博，內(nèi)部應(yīng)用可利用那個(gè)身份，但給他較低的信任級(jí)別。這樣，員工就可使用其微博資格訪問內(nèi)聯(lián)網(wǎng)非敏感部分。但如果想訪問公司的電子郵件，他就需要提供員工資格從而執(zhí)行更高一級(jí)的擔(dān)保，即該員工是他所聲稱的這個(gè)人。

　　· 提供安全設(shè)備。為員工提供他們所選擇的設(shè)備并確保這些設(shè)備裝載了要求的軟件和控制。這為單位和個(gè)人提供了一個(gè)雙贏局面。員工使用自己選擇的設(shè)備無需付錢，并可以安全和合規(guī)的方式訪問公司環(huán)境。

　　· 控制從設(shè)備的訪問。當(dāng)通過非標(biāo)準(zhǔn)設(shè)備進(jìn)行檢索時(shí)要確保對(duì)敏感數(shù)據(jù)的訪問得到控制。例如，可通過提供遠(yuǎn)程會(huì)話允許員工利用該信息，但永遠(yuǎn)不物理地將數(shù)據(jù)存儲(chǔ)到非標(biāo)準(zhǔn)設(shè)備上。

　　· 對(duì)敏感數(shù)據(jù)加密。對(duì)任何放在被認(rèn)為是公司財(cái)產(chǎn)的非標(biāo)準(zhǔn)設(shè)備上的數(shù)據(jù)進(jìn)行加密處理。這可包括員工的公司電子郵件。

　　應(yīng)對(duì)BYOD風(fēng)險(xiǎn)不存在一個(gè)一勞永逸的方法。上面所列各點(diǎn)是為思考過程提供起始點(diǎn)。它們可相互獨(dú)立使用，或針對(duì)具體需要以不同的組合使用。

　　現(xiàn)在我們應(yīng)該清楚地明白，制定BYOD政策并不是授權(quán)員工可攜帶自己的設(shè)備同時(shí)讓公司免去提供設(shè)備。它實(shí)際上是關(guān)于制定一項(xiàng)策略，管理設(shè)備，以一種安全的方式訪問公司數(shù)據(jù)。它是關(guān)于如何處理IT消費(fèi)化的問題和如何對(duì)待員工正開始在設(shè)備上講他們的個(gè)人生活和工作混合在一起這一事實(shí)，不管設(shè)備是由單位提供的還是他們自己購買的。

　　BYOD已成為指定術(shù)語用于描述這種企業(yè)IT的消費(fèi)化。這種趨勢(shì)將會(huì)繼續(xù)加速發(fā)展。它將比人們預(yù)想的來得更快，并由多個(gè)因素推動(dòng)。如果一家單位沒有做好應(yīng)對(duì)BYOD帶來的風(fēng)險(xiǎn)的準(zhǔn)備，就將會(huì)被拋在后面。